Ta strona została przetłumaczona przez Cloud Translation API.

Lista dozwolonych uprawnień uprzywilejowanych

Aplikacje uprzywilejowane to aplikacje systemowe, które znajdują się w katalogu priv-app na jednej z partycji obrazu systemu. Partycje używane w wydaniach Androida to

Android 8.1 i niższy - /system
Android 9 i nowszy - /system, /product, /vendor

Na tej stronie /etc/permissions/priv-app rozpoznaje partition /etc/permissions/priv-app .

Dawniej producenci urządzeń mieli niewielką kontrolę nad tym, które uprawnienia z podpisem|uprzywilejowane mogą być przyznawane uprzywilejowanym aplikacjom. Począwszy od systemu Android 8.0 producenci muszą jawnie udzielić uprzywilejowanych uprawnień w plikach XML konfiguracji systemu w katalogu /etc/permissions . Począwszy od Androida 9, implementatorzy muszą jawnie przyznać lub odmówić wszystkich uprzywilejowanych uprawnień, w przeciwnym razie urządzenie nie uruchomi się.

Plik privapp-permissions.xml może nadawać lub odmawiać uprawnień tylko uprzywilejowanym aplikacjom na tej samej partycji. Na przykład, jeśli aplikacja na partycji /product żąda uprawnień uprzywilejowanych, żądanie można udzielić lub odrzucić tylko za pomocą pliku privapp-permissions.xml , który również znajduje się w /product .

Uwaga: na liście dozwolonych muszą znajdować się tylko uprawnienia zdefiniowane przez platformę podstawową (pakiet „android”). Uprawnienia uprzywilejowane zdefiniowane przez producentów urządzeń nadal będą przyznawane automatycznie. Wyświetlaj tylko te aplikacje w pliku privapp-permissions.xml , które faktycznie istnieją na partycji. Jeśli aplikacja nie znajduje się na partycji, wpis jest ignorowany.

Uwaga: Uprzywilejowane aplikacje na partycji /vendor mogą uzyskiwać tylko uprawnienia uprzywilejowane, których poziom ochrony jest ustawiony na vendorPrivileged .

Dodawanie list dozwolonych

Listy dozwolonych uprawnień dla aplikacji mogą być wymienione w pojedynczym pliku XML lub w wielu plikach XML znajdujących się w katalogu frameworks/base/etc/permissions w następujący sposób:

/etc/permissions/privapp-permissions- OEM_NAME .xml
/etc/permissions/privapp-permissions- DEVICE_NAME .xml

Nie ma ścisłych zasad porządkowania treści. Realizatorzy urządzeń mogą określić strukturę treści, o ile wszystkie aplikacje z /system/priv-app są dozwolone na liście. Na przykład Google ma jedną listę dozwolonych dla wszystkich uprzywilejowanych aplikacji opracowanych przez Google i zaleca następującą organizację:

Uprawnienia dla aplikacji, które są już uwzględnione w drzewie Android Open Source Project (AOSP) są wymienione w /etc/permissions/privapp-permissions-platform.xml .
Uprawnienia dla aplikacji Google są wymienione w /etc/permissions/privapp-permissions-google.xml .
W przypadku innych aplikacji użyj plików w postaci: /etc/permissions/privapp-permissions- DEVICE_NAME .xml .

Dostosowywanie list dozwolonych

AOSP obejmuje implementację listy dozwolonych, którą można dostosować w razie potrzeby. Uprawnienia dla aplikacji zawartych w AOSP są już dozwolone w /etc/permissions/privapp-permissions-platform.xml .

Jeśli istnieją uprawnienia, których należy odmówić, edytuj kod XML, aby użyć tagu „odmowa uprawnień” zamiast tagu „uprawnienia”. Przykład:

<!-- This XML file declares which signature|privileged permissions to grant to
privileged apps that come with the platform -->

    <permissions>
      <privapp-permissions package="com.android.backupconfirm">
        <permission name="android.permission.BACKUP"/>
        <permission name="android.permission.CRYPT_KEEPER"/>
      </privapp-permissions>

      <privapp-permissions package="com.android.cellbroadcastreceiver">

        <!-- Don't allow the application to interact across users -->

        <deny-permission name="android.permission.INTERACT_ACROSS_USERS"/>
        <permission name="android.permission.MANAGE_USERS"/>
        <permission name="android.permission.MODIFY_PHONE_STATE"/>
        <permission name="android.permission.READ_PRIVILEGED_PHONE_STATE"/>
        <permission name="android.permission.RECEIVE_EMERGENCY_BROADCAST"/>
      </privapp-permissions>
    ...

Znajdowanie brakujących uprawnień

Aby znaleźć brakujące uprawnienia podczas uruchamiania nowego urządzenia, włącz tryb dziennika przejściowego:

ro.control_privapp_permissions=log

Naruszenia są zgłaszane w pliku dziennika, ale nieuprzywilejowane uprawnienia są nadal przyznawane. Dzięki temu urządzenie jest w stanie roboczym, jednocześnie wyświetlając listę naruszeń. Oto format komunikatu o błędzie:

PackageManager: Privileged permission {PERMISSION_NAME} for package {PACKAGE_NAME} - not in privapp-permissions allowlist

Wszystkie naruszenia należy rozwiązać, dodając brakujące uprawnienia do odpowiednich list dozwolonych.

W systemie Android 8.0 i starszych aplikacje, których dotyczy problem, nie otrzymują brakujących uprawnień, nawet jeśli znajdują się w ścieżce priv-app .
W systemie Android 9 i nowszych naruszenia ( uprawnień uprzywilejowanych ) oznaczają, że urządzenie się nie uruchamia . Musisz jawnie zezwolić lub odmówić wszystkich uprzywilejowanych uprawnień

Egzekwowanie list dozwolonych

Po utworzeniu list dozwolonych włącz wymuszanie w czasie wykonywania, ustawiając właściwość build ro.control_privapp_permissions=enforce .

Uwaga: lista dozwolonych jest wymagana tylko dla uprawnień deklarowanych przez aplikacje z parametrem package="android". Stan właściwości ro.control_privapp_permissions musi być zgodny z wymaganiami sekcji 9.1 CDD .